Cybred
22.04.202517:30
Эксплойт за $200 000
Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.
krypt0n
Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.
poc // research
Раньше подобное можно было провернуть с
Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.
krypt0n
сейчас проясню все. Сервак в который летят хеши создается у себя. К примеру на впс. Дальше через эксплойт генерируешь конфиг с твоими ip, share и т.д после этого создается специальный конфиг. Кладешь его на шару в любое место, независит куда именно. И если пользователь просто откроет проводник или эту шару то автоматически произойдет редирект сам (идет редирект запроса) тем самым хеш пользователя прилетает к вам на сервер и все. Сам файл который лежит на шаре открывать НЕ нужно
Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.
poc // research
Раньше подобное можно было провернуть с
.ico и .ini. Все способы собраны в этой репе https://github.com/Gl3bGl4z/All_NTLM_leak, советую сохранить.20.01.202507:55
EDRPrison — апгрейд EDRSilencer и других схожих утилит
В отличие от предшественников, EDRPrison:
— вместо добавления статических фильтров WFP, использует динамические на основе содержимого пакетов процесса
— избегает получения доступа к дескрипторам процессов или исполняемых файлов EDR, что снижает риск обнаружения и вмешательства в их работу
— загружая легитимный драйвер WFP callout, расширяет свои возможности, оставаясь при этом в рамках безобидного профиля.
Иными словами, теперь нет ограниченного списка поддерживаемых EDR, — блокируется все.
Подробный ресерч: EDRPrison: Borrow a Legitimate Driver to Mute EDR Agent
В отличие от предшественников, EDRPrison:
— вместо добавления статических фильтров WFP, использует динамические на основе содержимого пакетов процесса
— избегает получения доступа к дескрипторам процессов или исполняемых файлов EDR, что снижает риск обнаружения и вмешательства в их работу
— загружая легитимный драйвер WFP callout, расширяет свои возможности, оставаясь при этом в рамках безобидного профиля.
Иными словами, теперь нет ограниченного списка поддерживаемых EDR, — блокируется все.
Подробный ресерч: EDRPrison: Borrow a Legitimate Driver to Mute EDR Agent
20.10.202416:01
Living Off the Living Off the Land
Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.
О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS
Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking
Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут
Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках
Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины
Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD
Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.
О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.
Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS
Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking
Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут
Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках
Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины
Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD
Переслав з:
елуп
23.01.202515:25
Интерн-шитпостер нашёл критическую уязвимость, которую не замечали больше 15 лет. Вот хронология этой истории:
> В компании, о которой пойдёт речь, есть сервис с древней системой аутентификации, которую никто не трогает, потому что она написана на COBOL. Это древний язык программирования, который используют с 1959 года. Последний человек, который понимал, что там происходит, уехал в Перу проводить занятия по йоге
> Стажёр, который пришёл в компанию на лето, посчитал, что его старшие коллеги оставляют слишком скучные описания коммитов, и решил их разнообразить
> Сначала он оставлял весёлые описания коммитов в более свежих кодовых базах. Вот примеры его пометок:
// This function is older than me and probably pays taxes
// TODO: Ask if this while loop has health insurance
// Here lies Sarah's hopes and dreams (2019-2022), killed by this recursive call
> Но затем он добрался до той самой системы аутентификации и оставил там такие пометки:
// yo why this token validation looking kinda thicc though
// fr fr no cap this base64 decode bussin
// wait... hold up... this ain't bussin at all
> В итоге этот интерн нашёл уязвимость в проверке токенов, которая была там с первого срока Обамы, и отправил тикет в Jira с подписью: Auth be acting mad sus rn no cap frfr (Critical Security Issue)
> Теперь сотрудникам компании придётся объяснять, почему в их квартальном аудите безопасности есть слова no cap frfr, а интерн получит приглашение устроиться на постоянную основу
Небольшая сноска, чтобы разобраться с зумерскими сокращениями:
• thicc — сочная/толстая попа
• fr — for real, реально
• no cap — не пизжу, правда
• bussin — пиздато
• sus — подозрительно
• rn — прямо сейчас
> В компании, о которой пойдёт речь, есть сервис с древней системой аутентификации, которую никто не трогает, потому что она написана на COBOL. Это древний язык программирования, который используют с 1959 года. Последний человек, который понимал, что там происходит, уехал в Перу проводить занятия по йоге
> Стажёр, который пришёл в компанию на лето, посчитал, что его старшие коллеги оставляют слишком скучные описания коммитов, и решил их разнообразить
> Сначала он оставлял весёлые описания коммитов в более свежих кодовых базах. Вот примеры его пометок:
// This function is older than me and probably pays taxes
// TODO: Ask if this while loop has health insurance
// Here lies Sarah's hopes and dreams (2019-2022), killed by this recursive call
> Но затем он добрался до той самой системы аутентификации и оставил там такие пометки:
// yo why this token validation looking kinda thicc though
// fr fr no cap this base64 decode bussin
// wait... hold up... this ain't bussin at all
> В итоге этот интерн нашёл уязвимость в проверке токенов, которая была там с первого срока Обамы, и отправил тикет в Jira с подписью: Auth be acting mad sus rn no cap frfr (Critical Security Issue)
> Теперь сотрудникам компании придётся объяснять, почему в их квартальном аудите безопасности есть слова no cap frfr, а интерн получит приглашение устроиться на постоянную основу
Небольшая сноска, чтобы разобраться с зумерскими сокращениями:
• thicc — сочная/толстая попа
• fr — for real, реально
• no cap — не пизжу, правда
• bussin — пиздато
• sus — подозрительно
• rn — прямо сейчас
17.01.202516:00
Агентство Национальной Безопасности делится курсами, причем бесплатно.
Есть инициатива NCAE-C, в рамках которой АНБ поддерживает лучшие вузы, которые делают бесплатный и открытый контент по кибербезу.
Курсов много:
— Software Reverse Engineering
— Zero Trust Security
— Incident Response
— Cybersecurity for Autonomous Vehicles
— Generative AI in Cybersecurity
— Industrial Control Systems (ICS)-Renewable Energy (RE) Security
— Blockchain and Cybersecurity
— Network Penetration Testing
— Digital Forensics
— Operating System Hardening
Всего более 850 модулей.
Есть инициатива NCAE-C, в рамках которой АНБ поддерживает лучшие вузы, которые делают бесплатный и открытый контент по кибербезу.
Курсов много:
— Software Reverse Engineering
— Zero Trust Security
— Incident Response
— Cybersecurity for Autonomous Vehicles
— Generative AI in Cybersecurity
— Industrial Control Systems (ICS)-Renewable Energy (RE) Security
— Blockchain and Cybersecurity
— Network Penetration Testing
— Digital Forensics
— Operating System Hardening
Всего более 850 модулей.
22.01.202516:07
CVE-2024-49138-POC
Tested on Windows 11 23h2.
❗️ CVE-2024-49138 is an elevation of privilege vulnerability in the Windows Common Log File System (CLFS) driver, potentially allowing attackers to gain unauthorized access to system resources.
This vulnerability can be exploited by crafting malicious CLFS log files, enabling attackers to execute privileged actions within the operating system.
Tested on Windows 11 23h2.
16.01.202516:00
Доклады с Objective by the Sea.
— Sweet QuaDreams or Nightmare before Christmas? Dissecting an iOS 0-Day
— macOS Stealers: Stealing Your Coins, Cookies and Keychains
— Unraveling the iPhone’s Baseband Architecture to Defend Against Cellular Attacks
— Swift Reversing in 2024 - It's Not So Bad :)
— Stealer Crossing: New Horizons
— Patch Different on *OS"
— Mach-O in Three Dimensions
— Endless Exploits: The Saga of a macOS Vulnerability Exploited Seven Times
— Broken isolation: Draining your Credentials from Popular macOS Password Managers
— iDecompile: Writing a Decompiler for iOS Applications
— How to Use ML to Detect Bad?
— Unraveling Time: Understanding Time Formats in iOS Sysdiagnose for Sec Forensics
— Triangulating TrueType Fonts On macOS: Reconstructing CVE-2023-41990
— Apple's Not So Rapid Security Response
— iPhone Backup Forensics
— A Better Way, YARA-X, Mach-O Feature Extraction, and Malware Similarity
— Tripwires in the Dark: Developing Behavior Detections for macOS
— Mac, Where’s my Bootstrap? What is the Bootstrap Server & How Can U Talk To It?
— From Theory to Practise - Let’s find an iOS Commercial Spyware Sample
— A Little Less Malware, A Little More Context: Using LLMs to Detect Malicious macOS Activity
— Unveiling the Apple CVE-2024-40834 - A 'shortcut' to the Bypass Road
— Mirror Mirror: Restoring Reflective Code Loading on macOS
Все видео в одном плейлисте собраны тут.
Objective by the Sea - единственная в мире конференция по безопасности, ориентированная на Apple, которая объединяет лучших в мире исследователей безопасности Apple и страстных пользователей Apple.
— Sweet QuaDreams or Nightmare before Christmas? Dissecting an iOS 0-Day
— macOS Stealers: Stealing Your Coins, Cookies and Keychains
— Unraveling the iPhone’s Baseband Architecture to Defend Against Cellular Attacks
— Swift Reversing in 2024 - It's Not So Bad :)
— Stealer Crossing: New Horizons
— Patch Different on *OS"
— Mach-O in Three Dimensions
— Endless Exploits: The Saga of a macOS Vulnerability Exploited Seven Times
— Broken isolation: Draining your Credentials from Popular macOS Password Managers
— iDecompile: Writing a Decompiler for iOS Applications
— How to Use ML to Detect Bad?
— Unraveling Time: Understanding Time Formats in iOS Sysdiagnose for Sec Forensics
— Triangulating TrueType Fonts On macOS: Reconstructing CVE-2023-41990
— Apple's Not So Rapid Security Response
— iPhone Backup Forensics
— A Better Way, YARA-X, Mach-O Feature Extraction, and Malware Similarity
— Tripwires in the Dark: Developing Behavior Detections for macOS
— Mac, Where’s my Bootstrap? What is the Bootstrap Server & How Can U Talk To It?
— From Theory to Practise - Let’s find an iOS Commercial Spyware Sample
— A Little Less Malware, A Little More Context: Using LLMs to Detect Malicious macOS Activity
— Unveiling the Apple CVE-2024-40834 - A 'shortcut' to the Bypass Road
— Mirror Mirror: Restoring Reflective Code Loading on macOS
Все видео в одном плейлисте собраны тут.
21.01.202510:55
Ростелеком взломан
Хакеры из Silent Crow, которые в прошлый раз вынесли Росреестр, поделились своими новыми достижениями.
В процессе выгрузки данных они были замечены местным SOC, который попытался несколько раз выбить из компании, но его попытки оказались тщетными.
В данный момент был опубликован только один дамп, в которой входит 154 тыс. уникальных адресов почты и 101 тыс. уникальных номеров телефонов. Но сегодня будут также опубликованы и другие дампы.
Подводя итоги, Silent Crow призывают ожидать новые сливы.
Хакеры из Silent Crow, которые в прошлый раз вынесли Росреестр, поделились своими новыми достижениями.
Пора подвести итоги нашего недавнего приключения в сетях одной из крупнейших компаний РФ — "Ростелеком". Да, мы были там достаточно долго, вынесли прилично, и теперь делимся с вами некоторыми артефактами.
В процессе выгрузки данных они были замечены местным SOC, который попытался несколько раз выбить из компании, но его попытки оказались тщетными.
Сразу хотим выразить "респект" отделу информационной безопасности Ростелекома. Эти ребята пытались выбить нас из сети четыре раза. Работа SOC была захватывающей, но бессмысленной. На второй месяц мы уже чувствовали себя у них штатными сотрудниками.
В данный момент был опубликован только один дамп, в которой входит 154 тыс. уникальных адресов почты и 101 тыс. уникальных номеров телефонов. Но сегодня будут также опубликованы и другие дампы.
Сегодня мы сольем несколько ресурсов, а именно базу данных "Закупки ПАО Ростелеком", базу данных заявок клиентов с основного сайта "ПАО Ростелеком" — номера телефонов, адреса, запросы, и, конечно, привычные: "Срочно почините интернет!", который всё равно тормозит.
Подводя итоги, Silent Crow призывают ожидать новые сливы.
Ожидайте интересный новостей, следующий слив будет крупным.
15.01.202516:05
burpference
Мощный апгрейд для Burp Suite — расширение собирает все In-Scope ссылки из истории запросов и отправляет их в LLM, чтобы тот помогал находить уязвимости.
— поддерживает Ollama, Anthropic, OpenAI, HuggingFace
— можно настроить отправку только в локальную модель
Расширение разработала команда Dreadnode, с одним из ресерчеров которой пару дней назад вышел подкаст от OWASP.
Мощный апгрейд для Burp Suite — расширение собирает все In-Scope ссылки из истории запросов и отправляет их в LLM, чтобы тот помогал находить уязвимости.
— поддерживает Ollama, Anthropic, OpenAI, HuggingFace
— можно настроить отправку только в локальную модель
Расширение разработала команда Dreadnode, с одним из ресерчеров которой пару дней назад вышел подкаст от OWASP.
Показано 1 - 9 із 9
Увійдіть, щоб розблокувати більше функціональності.